Letzte Änderung am: 03. Februar 2025
Einführung
DAIKIN Europe N.V. („DENV“) ist eine hundertprozentige Tochtergesellschaft des japanischen Unternehmens DAIKIN Industries Ltd. Geschäftsgegenstand der DAIKIN Group sind Herstellung, Vertrieb, Auslieferung und Vermarktung von Ausrüstungen und Dienstleistungen auf den Gebieten Klimatisierung, Heizung, Lüftung und Kälteerzeugung, auch in Zusammenarbeit mit seinen Tochtergesellschaften.
DAIKIN Europe N.V. und seine Tochtergesellschaften (im Folgenden als die „DAIKIN Europe Group“ bezeichnet) ist zur Sicherstellung von Gefahrlosigkeit und Integrität seiner Produkte, Systeme, Services und Anwendungen (im Folgenden als „Assets“ bezeichnet) und zum Schutz von Daten, einschließlich personenbezogener Daten, und Privatsphäre der Endanwender sowie zur Verhinderung jeglicher negativer Auswirkungen auf Netzwerkfunktionalitäten und Missbrauch von Netzwerkressourcen verpflichtet.
Zweck dieser Richtlinie
Diese Richtlinie verfolgt die folgenden Zwecke:
- Motivierung zur verantwortungsvollen Offenlegung jeglicher potenzieller Schwachstellen, die an den Assets der DAIKIN Europe Group erkannt wurden, und
- Einrichten eines Prozesses zum Melden von Sicherheitsproblemen an die DAIKIN Europe Group und die unmittelbare, wirkungsvolle und gesetzeskonforme Beseitigung solcher Probleme²
Zielgruppe
Zum Melden von Schwachstellen berechtigte Personen sind unter anderem Sicherheitsforscher, Endanwender, unabhängige Fachleute, Geschäftspartner in Industrie und Gewerbe und Mitglieder der Allgemeinheit (im Folgenden als „Meldender“ bezeichnet). Die DAIKIN Europe Group empfiehlt vor dem Melden einer Schwachstelle das vollständige Durchlesen dieser Richtlinie zum Melden und Offenlegen von Schwachstellen und das genaue Einhalten dieser Richtlinie.
Die DAIKIN Europe Group schätzt die Beiträge aller Beteiligten zur Sicherstellung der Gefahrlosigkeit der Assets der DAIKIN Europe Group. Die DAIKIN Europe Group kann jedoch keinerlei finanzielle Vergütung für die Offenlegung von Schwachstellen gewähren.
Geltungsbereich
Diese Richtlinie zum Melden und Offenlegen von Schwachstellen gilt für alle Assets, bei denen im Fall einer Kompromittierung die potenzielle Gefahr einer Schädigung der DAIKIN Europe Group oder von negativen Auswirkungen auf die Geschäftsabläufe der DAIKIN Europe Group besteht. Dies umfasst, ohne jedoch darauf beschränkt zu sein, alle von der DAIKIN Europe Group hergestellten und/oder gelieferten Produkte sowie digitale Assets, Anwendungen von Drittanbietern und IT-Infrastruktur, die innerhalb des Unternehmensumfelds der DAIKIN Europe Group genutzt werden.
Berichterstellung
Sollten Sie eine Schwachstelle entdecken, melden Sie diese bitte der DAIKIN Europe Group an die folgende Adresse: vulnerability@daikineurope.com
Fügen Sie in die Meldung einer Schwachstelle bitte die folgenden Angaben ein:
- Name(n) oder Kennung(en) der betroffenen Assets und/oder Angaben, die eine Identifizierung der betroffenen Assets ermöglichen
- Beschreibung der Schwachstelle, auch Angaben dazu, wie die Schwachstelle erkannt oder reproduziert werden kann
- Mögliche Auswirkungen der Schwachstelle
- Code des Machbarkeitsnachweises (falls vorhanden) oder sonstige Belege, die Schritte vorgeben, mit denen die Schwachstelle reproduziert werden kann
- Kontaktangaben zum Meldenden (Angabe von personenbezogenen Daten4 ist nicht erforderlich)
Bestätigung des Eingangs der Meldung
Nach Eingang der Meldung einer Schwachstelle bestätigt das Vulnerability Response Team (Team zur Reaktion auf Schwachstellen) der DAIKIN Europe Group innerhalb von 7 Arbeitstagen dem Meldenden den Eingang der Meldung.
Diese Eingangsbestätigung enthält eine Nachverfolgungsnummer oder eine Kennung als Referenz. Sind zur Untersuchung der gemeldeten Schwachstelle weitere Angaben erforderlich, wird dies dem Meldenden vom Vulnerability Response Team mitgeteilt.
Untersuchung
Das Vulnerability Response Team der DAIKIN Europe Group leitet eine organisationsinterne Untersuchung ein, um sicherzustellen, dass jede einzelne gemeldete Schwachstelle sachgerecht auf tatsächliches Vorhandensein, Schweregrad und Umfang bewertet wird.
Der DAIKIN Europe Group ist die Wichtigkeit von Transparenz und Zusammenarbeit bei der wirkungsvollen Bewältigung gemeldeter Sicherheitsschwachstellen bewusst. Daher hält das Vulnerability Response Team den Meldenden während der laufenden Untersuchung regelmäßig bezüglich des Verlaufs der Untersuchung auf dem neuesten Stand, einschließlich ggf. vorliegender Erkenntnisse und weiterer Entwicklungen.
Korrekturmaßnahmen
Falls die DAIKIN Europe Group der Auffassung ist, dass eine Schwachstelle durch Anwenden eines Patches, einer Änderung der Konfiguration oder einer sonstigen Abhilfemaßnahme (eines oder mehrerer „Fixes“) abgehandelt und beseitigt werden muss, damit Gefahren beseitigt oder entschärft werden, werden diese Fixes von der DAIKIN Europe Group und/oder von ihren externen Lieferanten erstellt. Fixes werden so gestaltet, dass die erkannte Schwachstelle behoben wird, ohne dass die Funktionalität oder die Brauchbarkeit des betroffenen Assets beeinträchtigt wird.
Nachdem Fixes entwickelt und auf Wirksamkeit getestet wurden, werden diese Fixes über die üblichen Kanäle bereitgestellt, je nach Natur der Schwachstelle z. B. durch Over-the-Air-Updates, Firmwareupdates, Softwarepatches usw. Bei Notwendigkeit werden die Geschäftspartner, wie Wiederverkäufer und Installateure, der DAIKIN Europe Group über sämtliche von diesen Geschäftspartnern auszuführenden Maßnahmen informiert. Solche Maßnahmen können Unterstützung bei der Bereitstellung von Patches an Endanwender oder Anleitungen zur Anwendung von Patches sein.
Im Anschluss an die Beseitigung gemeldeter Schwachstellen nimmt die DAIKIN Europe Group Post-mortem-Analysen vor, in denen die Wirksamkeit des Reaktionsprozesses bewertet und Bereiche mit Verbesserungsmöglichkeiten benannt werden. Zur stetigen Verbesserung der Prozesse zur Beseitigung von Schwachstellen werden die im Rahmen jeder einzelnen Maßnahme zur Beseitigung einer Schwachstelle gewonnenen Erkenntnisse dokumentiert und in zukünftige Reaktionsverfahren eingearbeitet.
Der Meldende wird über die Bereitstellung von Fixes und alle sonstigen Schritte zur Beseitigung der Schwachstelle informiert.
Vertrauliche Behandlung und Offenlegung von gemeldeten Schwachstellen
Die DAIKIN Europe Group ist gegenüber ihren Kunden und Endanwendern zur verantwortungsvollen Offenlegung von Sicherheitsschwachstellen verpflichtet. Im Anschluss an eine vollumfängliche Untersuchung einer Schwachstelle legt die DAIKIN Europe Group einen sachgerechten Offenlegungsplan fest, z. B. eine Mitteilung über die Verfügbarkeit von Fixes und Anleitungen zur Anwendung dieser Fixes. Das Vulnerability Response Team unterrichtet den Meldenden entsprechend. Das Ziel besteht darin sicherzustellen, dass die Betroffenen über ernsthafte Sicherheitsrisiken informiert werden und Anleitungen zur Beseitigung dieser Risiken erhalten.
Der DAIKIN Europe Group sind die mit einer voreiligen Offenlegung von Schwachstellen verbundenen Gefahren bewusst. Aus diesem Grund hebt die DAIKIN Europe Group gegenüber Meldenden hervor, dass eine solche Offenlegung eine erhebliche Sicherheitsbedrohung darstellt, solange die Schwachstelle noch nicht behoben ist, insbesondere für Endanwender der betroffenen Assets.
Eine voreilige Offenlegung kann einer Ausnutzung durch Böswillige Vorschub leisten. Aus diesem Grund verlangt die DAIKIN Europe Group, dass Meldende von potenziellen Schwachstellen striktes Stillschweigen bewahren und nur dann Informationen über die verdächtige Schwachstelle an Dritte weitergeben, wenn eine schriftliche Genehmigung der DAIKIN Europe Group vorliegt oder eine gesetzliche Pflicht dazu besteht.
Richtlinien zum ethischen Hacking
Berichtenden ist Folgendes UNTERSAGT:
- Illegale Aktivitäten: Unterlassen Sie jegliche Aktivitäten, die gegen geltende Gesetze und Bestimmungen verstoßen.
- Zugriff auf große Datenmengen: Beschränken Sie den Datenzugriff auf den für die Untersuchung erforderlichen Umfang.
- Verändern von Daten: Unterlassen Sie jegliche Änderung jeglicher Daten in den Systemen der Organisation.
- Zerstörerisches Testen: Verwenden Sie keine Tools, die zu Schäden oder Störungen an Systemen der Organisation führen könnten.
- Denial-of-Service-Angriffe: Versuchen Sie nicht, Services zu überlasten oder unmöglich zu machen.
- Verursachen von Störungen: Unterlassen Sie Handlungen, die Abläufe in der Organisation stören könnten.
- Triviale oder nicht ausnutzbare Schwachstellen: Melden Sie keine Schwachstellen, die nicht ausgenutzt werden können oder lediglich kleinere Konfigurationsprobleme darstellen.
- Schwache TLS-Konfiguration: Melden Sie Schwachstellen, die durch schwache TLS-Konfigurationen verursacht werden, möglichst nur dann, wenn diese Schwachstellen ein signifikantes Sicherheitsrisiko darstellen.
- Eigenmächtige Weitergabe von Informationen: Legen Sie Schwachstellen ausschließlich gegenüber dem benannten Sicherheitsteam und nur über die vorgegebenen Kanäle offen.
- Social Engineering oder physische Angriffe: Versuchen Sie nicht, Personal oder Infrastruktur der Organisation zu täuschen oder physisch zu schädigen.
- Erpressung: Verlangen Sie keine Bezahlung für die Offenlegung von Schwachstellen.
Berichtende sind zu Folgendem VERPFLICHTET:
- Datenschutz: Halten Sie den Schutz der Daten der Nutzer und des Personals der DAIKIN Europe Group ein.
- Datensicherheit: Bewahren Sie sämtliche im Rahmen der Untersuchung erlangten Daten sicher auf.
- Zeitnahes Löschen der Daten: Löschen Sie Daten sofort, sobald die Daten nicht mehr benötigt werden. In besonderen Ausnahmefällen, in denen eine sofortige Löschung technisch nicht machbar oder gesetzlich untersagt ist (z. B. aufgrund vorhandener Sicherungskopien oder Aufbewahrung aufgrund zu erwartender Rechtsstreitigkeiten), sind die Daten innerhalb eines Monats nach Beseitigung der Schwachstelle zu löschen. Diese einmonatige Frist stellt die absolute Obergrenze des Aufbewahrungszeitraums dar. Es sind alle möglichen Anstrengungen zu unternehmen, dass die Daten so zeitig wie möglich gelöscht werden können.